A Cisco identificou uma vulnerabilidade crítica, classificada como 10/10, em seu produto Secure Firewall Management Center (FMC). Essa falha, localizada no subsistema RADIUS, pode permitir que um atacante remoto não autenticado injete comandos de shell arbitrários, comprometendo a segurança do sistema. O RADIUS é um protocolo utilizado para autenticar e autorizar administradores e usuários de VPN, e a exploração da falha requer que o FMC esteja configurado para autenticação RADIUS. Essa configuração é comum em redes empresariais e governamentais, aumentando o risco de ataques. A Cisco já disponibilizou um patch para corrigir a vulnerabilidade e recomenda que os usuários que não puderem aplicar a atualização desativem a autenticação RADIUS, optando por métodos alternativos, como contas de usuário locais ou LDAP. Embora não haja evidências de exploração ativa da falha até o momento, a empresa alerta que a superfície de ataque é significativa, dada a popularidade do FMC em ambientes críticos.

Pesquisadores de cibersegurança da Zscaler ThreatLabz descobriram um sofisticado ataque à cadeia de suprimentos que visa desenvolvedores Python por meio de um pacote malicioso. O ataque, identificado em 22 de julho de 2025, utiliza um pacote aparentemente benigno chamado ’termncolor’, que importa uma dependência maliciosa chamada ‘colorinal’. Após a instalação, o malware executa um arquivo que carrega uma DLL maliciosa, permitindo a execução de código malicioso disfarçado de um executável legítimo. Para garantir a persistência, o malware cria uma entrada no registro do Windows, assegurando que o executável malicioso seja executado automaticamente em cada inicialização do sistema. Além disso, o malware realiza reconhecimento do sistema e se comunica com um servidor de comando e controle utilizando tráfego HTTPS, dificultando a detecção. O ataque também possui uma variante para sistemas Linux. Embora os pacotes maliciosos tenham sido removidos do Python Package Index (PyPI), o incidente destaca os riscos contínuos de compromissos na cadeia de suprimentos em ecossistemas de código aberto. Organizações devem implementar soluções de monitoramento e varredura de pacotes para detectar tais ameaças antes que se tornem persistentes.

A Bragg Gaming Group, uma importante fornecedora de tecnologia para iGaming, confirmou um incidente de cibersegurança ocorrido em 16 de agosto de 2025. O ataque, detectado na manhã de sábado, afetou apenas a infraestrutura interna da empresa, sem comprometer dados de clientes ou a continuidade operacional. A análise forense preliminar indica que a intrusão foi limitada, com foco em possíveis movimentos laterais dentro da rede, mas sem acesso a sistemas voltados para o cliente ou informações pessoais identificáveis (PII). A arquitetura de rede segregada da Bragg foi fundamental para conter a violação, evitando impactos maiores. A empresa ativou imediatamente seu protocolo de resposta a incidentes, envolvendo especialistas externos para análise detalhada e caça a ameaças. A continuidade operacional foi mantida, com todos os sistemas críticos funcionando normalmente. A Bragg se comprometeu a fornecer atualizações sobre a investigação em seu site corporativo, ressaltando a importância de estruturas de cibersegurança robustas, especialmente em setores que lidam com dados financeiros sensíveis.

Pesquisadores de segurança descobriram uma campanha de ataque sofisticada em que atores de ameaças estão explorando Arquivos de Índice de Ajuda da Microsoft (.mshi) como um novo mecanismo de entrega para o backdoor PipeMagic. Essa campanha culmina na exploração da vulnerabilidade crítica CVE-2025-29824, que foi corrigida pela Microsoft em abril de 2025. Os atacantes utilizam um arquivo chamado ‘metafile.mshi’, que contém código C# ofuscado, para executar um payload malicioso através do utilitário MSBuild da Microsoft. Após a execução, o malware explora a vulnerabilidade CVE-2025-29824, que permite elevação de privilégios, e injeta cargas em processos do sistema, como winlogon.exe, para extrair credenciais. O ataque resulta na implantação de ransomware, com arquivos criptografados recebendo extensões aleatórias e notas de resgate sendo deixadas nos sistemas comprometidos. A Microsoft atribui essa atividade ao grupo de ameaças Storm-2460, que continua a adaptar suas táticas e a expandir seus métodos de entrega para evitar detecções.

Pesquisadores de cibersegurança descobriram uma campanha de malware sofisticada chamada “Solana-Scan”, que visa especificamente desenvolvedores de criptomoedas no ecossistema Solana por meio de pacotes npm maliciosos. A campanha, que começou em 15 de agosto de 2025, afeta principalmente desenvolvedores russos e utiliza técnicas avançadas de roubo de informações para coletar credenciais de criptomoedas e arquivos de carteira. Três pacotes npm maliciosos foram identificados: “solana-pump-test”, “solana-spl-sdk” e “solana-pump-sdk”, que se disfarçaram como ferramentas legítimas de escaneamento do SDK Solana. O malware executa um payload em duas etapas, coletando dados ambientais e, em seguida, escaneando sistemas comprometidos em busca de arquivos sensíveis. Os dados roubados são enviados para um servidor de comando e controle nos EUA, que expõe informações das vítimas, levantando questões sobre possível envolvimento estatal. A detecção desse tipo de ataque é desafiadora para ferramentas tradicionais de segurança, e recomenda-se que as organizações implementem soluções de escaneamento de pacotes em tempo real e mantenham inventários de dependências atualizados.

O Paquistão enfrenta uma grave ameaça cibernética com o ransomware Blue Locker, que atacou severamente a infraestrutura crítica do país, especialmente o setor de petróleo e gás. O ataque, que ocorreu em 6 de agosto de 2025, levou o Pakistan Petroleum Limited (PPL) a ativar protocolos internos de segurança. A natureza sofisticada do ransomware, que utiliza algoritmos de criptografia AES e RSA, sugere um envolvimento de atores estatais, especialmente considerando o timing próximo ao Dia da Independência do Paquistão. O malware opera através de um loader baseado em PowerShell, desativando defesas de segurança e aplicando extensões específicas aos arquivos criptografados. Além disso, emprega táticas de dupla extorsão, ameaçando vazar dados sensíveis se o resgate não for pago. A equipe nacional de resposta a emergências cibernéticas (NCERT) emitiu um alerta para 39 ministérios, destacando a falta de políticas estruturadas de cibersegurança e a necessidade urgente de medidas proativas. As recomendações incluem autenticação multifatorial e segmentação de rede, além de alertas sobre o perigo de downloads de fontes não verificadas. Este incidente expõe vulnerabilidades significativas na infraestrutura de TI do governo paquistanês e ressalta a necessidade de fortalecer as capacidades de cibersegurança nacional.

Organizações que lidam com dados sensíveis ou informações pessoais identificáveis (PII) devem seguir padrões de conformidade regulatória, especialmente em setores regulados como saúde, finanças e educação. Padrões como PCI DSS, GDPR e HIPAA são cruciais para proteger contra riscos cibernéticos e evitar multas. Para atender a esses requisitos, as empresas devem revisar regularmente as normas aplicáveis, designar um responsável pela conformidade e treinar funcionários. O Wazuh, uma plataforma de segurança de código aberto, oferece suporte na implementação dessas normas, com recursos como monitoramento de eventos de conformidade, visualização de alertas e documentação atualizada. A conformidade não apenas protege as organizações, mas também facilita processos de licenciamento e reduz riscos financeiros. O artigo destaca a importância de plataformas como o Wazuh para garantir que as empresas permaneçam em conformidade com as regulamentações, ajudando a mitigar riscos e a melhorar a postura de segurança.

Pesquisadores de cibersegurança descobriram um pacote malicioso no repositório Python Package Index (PyPI) chamado termncolor, que utiliza uma dependência chamada colorinal para executar um ataque em múltiplas etapas. O termncolor foi baixado 355 vezes, enquanto colorinal teve 529 downloads antes de serem removidos do PyPI. O ataque permite a execução remota de código e a persistência do malware por meio de um registro no Windows. O malware também pode infectar sistemas Linux, utilizando um arquivo compartilhado chamado terminate.so. A análise da atividade do autor do malware revelou que ele está ativo desde 10 de julho de 2025, e a comunicação com o servidor de comando e controle (C2) é realizada através do Zulip, um aplicativo de chat de código aberto. Além disso, um relatório da SlowMist alerta que desenvolvedores estão sendo alvo de ataques disfarçados de avaliações de emprego, levando à clonagem de repositórios do GitHub com pacotes npm maliciosos. Esses pacotes têm a capacidade de roubar dados sensíveis, como credenciais e informações de carteiras de criptomoedas. A situação destaca a necessidade de monitoramento constante dos ecossistemas de código aberto para evitar ataques à cadeia de suprimentos.

Recentemente, o Brasil tem enfrentado um aumento significativo em fraudes móveis, destacando-se o trojan PhantomCard, que utiliza comunicação de campo próximo (NFC) para realizar ataques de relay em transações bancárias. Usuários que instalam aplicativos maliciosos são induzidos a colocar seus cartões de crédito ou débito na parte traseira do celular, permitindo que os dados sejam enviados a servidores controlados por atacantes. Além disso, duas falhas de segurança na plataforma N-able N-central foram exploradas ativamente, permitindo execução de comandos e injeção de comandos, com patches já disponíveis. O grupo de ameaças Curly COMrades também foi identificado, visando entidades na Geórgia e Moldávia, alinhado com estratégias geopolíticas russas. Por fim, a descoberta de backdoors em imagens do Docker relacionadas ao XZ Utils ressalta a importância de utilizar imagens atualizadas para evitar riscos de segurança. O artigo destaca a necessidade de ações rápidas e claras para mitigar riscos em um cenário de cibersegurança em constante evolução.

Uma vulnerabilidade de segurança foi identificada em centenas de instalações do TeslaMate, um registrador de dados de veículos Tesla, que expõe informações sensíveis a acessos não autorizados. O pesquisador de cibersegurança Seyfullah KILIÇ revelou que muitas instâncias do TeslaMate estão mal configuradas, permitindo o vazamento de dados em tempo real, como localização, padrões de carregamento e informações do veículo, sem autenticação. O TeslaMate, que se conecta à API oficial da Tesla, coleta dados detalhados, incluindo coordenadas GPS e dados de saúde da bateria. A vulnerabilidade decorre da configuração padrão do TeslaMate, que expõe pontos críticos sem mecanismos de autenticação. O acesso não autorizado é facilitado pela execução do aplicativo em portas públicas, como a 4000, sem as devidas medidas de segurança. Os dados expostos representam riscos significativos à segurança física, permitindo que atores maliciosos rastreiem rotinas diárias e identifiquem horários em que os veículos estão fora de casa. Especialistas recomendam a implementação de autenticação básica e restrições de firewall para mitigar esses riscos. Este incidente destaca a importância de práticas de segurança desde o design em aplicações automotivas de código aberto e a necessidade de educação dos usuários sobre práticas de implantação seguras.

A Rockwell Automation revelou uma vulnerabilidade crítica que afeta diversos módulos de comunicação Ethernet ControlLogix, potencialmente expondo sistemas de controle industrial a ataques de execução remota de código. Identificada como CVE-2025-7353, a falha possui uma pontuação CVSS 3.1 de 9.8, indicando um risco severo para a infraestrutura de tecnologia operacional. A vulnerabilidade decorre de um agente de depuração baseado na web (WDB) que permanece habilitado por padrão em dispositivos de produção, permitindo que atacantes realizem operações não autorizadas na memória, como dumps de memória e modificações diretas. O vetor de ataque requer acesso à rede, mas não exige autenticação ou interação do usuário, o que a torna especialmente perigosa em ambientes industriais. A Rockwell recomenda que as organizações atualizem o firmware para a versão 12.001 para mitigar os riscos. Para ambientes onde a aplicação imediata de patches é desafiadora, a segmentação de rede e listas de controle de acesso são sugeridas como medidas provisórias. A descoberta da vulnerabilidade destaca a necessidade de práticas robustas de segurança cibernética em setores críticos.

Pesquisadores em cibersegurança estão observando um preocupante ressurgimento de malwares clássicos do tipo cavalo de Troia, impulsionados por Modelos de Linguagem de Grande Escala (LLMs). Esses novos malwares, como JustAskJacky e TamperedChef, utilizam funcionalidades legítimas para se disfarçar, dificultando a detecção por métodos tradicionais. A evolução das ferramentas de desenvolvimento baseadas em IA permitiu que ameaçadores criassem códigos sofisticados que evitam sistemas de detecção baseados em assinaturas. Por exemplo, o TamperedChef permaneceu indetectado no VirusTotal por seis semanas, mesmo após ser desempacotado. As aplicações que promovem esses trojans apresentam uma aparência extremamente legítima, com sites profissionais e conteúdo convincente. Isso torna a análise comportamental crucial, já que a intuição do usuário sobre sites suspeitos não é mais suficiente. Em vez disso, técnicas de análise dinâmica e comportamental são necessárias para identificar padrões de comportamento suspeitos, como os observados no JustAskJacky. A combinação de técnicas clássicas de engano com a sofisticação moderna representa uma mudança significativa no cenário de ameaças, exigindo que organizações e usuários individuais adaptem suas estratégias de segurança.

Um recente vazamento de dados, publicado na revista Phrack, revelou um conjunto de malware sofisticado para Linux, associado a um grupo de ameaças supostamente alinhado ao governo norte-coreano. O vazamento, que parece ter origem em uma violação da infraestrutura dos atacantes, expõe táticas operacionais avançadas utilizadas contra organizações governamentais e do setor privado da Coreia do Sul e Taiwan. O malware em questão é um rootkit baseado em um módulo de kernel carregável (LKM), projetado para evitar a detecção tradicional e garantir acesso persistente e oculto a sistemas Linux. Entre suas características estão a ocultação de módulos, evasão de processos e redes, e técnicas anti-forense que dificultam a reconstrução de atividades. Os pesquisadores de segurança alertam que as defesas tradicionais são insuficientes para detectar tais ameaças, e recomendam que, se um sistema for comprometido a nível de kernel, ele deve ser isolado e reconstruído imediatamente. Este incidente destaca a crescente sofisticação das operações ligadas ao estado norte-coreano, que utilizam técnicas de stealth em nível de kernel para infiltrar redes sem serem detectados.

O ‘ghost-tapping’ é uma técnica emergente utilizada por grupos de cibercriminosos, especialmente de língua chinesa, que exploram vulnerabilidades em serviços de pagamento móvel como Apple Pay e Google Pay. Essa abordagem envolve ataques de relé de comunicação de proximidade (NFC), permitindo que os criminosos realizem compras presenciais de produtos de alto valor utilizando dados de cartões de crédito roubados. Os dados são obtidos através de campanhas de phishing e malware sofisticado, sendo posteriormente carregados em carteiras móveis em celulares descartáveis. Ferramentas como NFCGate e plataformas proprietárias permitem a transmissão em tempo real de dados tokenizados para dispositivos controlados pelos criminosos. Os mules, recrutados por meio de canais do Telegram, utilizam esses dispositivos para efetuar transações, frequentemente passando despercebidos devido a lacunas nos protocolos de Conheça Seu Cliente (KYC). Entre outubro e dezembro de 2024, mais de 650 incidentes foram registrados em Cingapura, resultando em perdas superiores a SGD 1,2 milhão, a maioria envolvendo cartões comprometidos vinculados ao Apple Pay. Especialistas alertam que essa ameaça está se expandindo globalmente, exigindo que instituições financeiras reforcem suas medidas de autenticação e que consumidores estejam atentos a atividades não autorizadas.

Um novo ataque cibernético está em andamento, onde hackers estão utilizando um site falso do Telegram Premium para disseminar o malware Lumma Stealer. O domínio telegrampremium[.]app imita a marca legítima e, ao ser acessado, baixa automaticamente um arquivo executável chamado start.exe, sem a necessidade de qualquer interação do usuário. Este malware, desenvolvido em C/C++, é capaz de coletar dados sensíveis, como credenciais armazenadas no navegador e informações de carteiras de criptomoedas, aumentando o risco de roubo de identidade.

Pesquisadores de cibersegurança revelaram detalhes sobre o trojan bancário para Android ERMAC 3.0, que apresenta uma evolução significativa em suas capacidades de injeção de formulários e roubo de dados, visando mais de 700 aplicativos de bancos, compras e criptomoedas. Inicialmente documentado em setembro de 2021, o ERMAC é atribuído ao ator de ameaças DukeEugene e é considerado uma evolução dos malwares Cerberus e BlackRock.

A nova versão inclui métodos de injeção de formulários aprimorados, um painel de comando e controle (C2) reformulado, um novo backdoor para Android e comunicações criptografadas com AES-CBC. A Hunt.io conseguiu acessar o código-fonte completo do malware, revelando falhas críticas na infraestrutura dos operadores, como um segredo JWT codificado e um token de administrador estático. Essas vulnerabilidades oferecem oportunidades para que defensores rastreiem e interrompam operações ativas do ERMAC.

O grupo de hackers conhecido como EncryptHub está explorando uma falha de segurança já corrigida no Microsoft Windows para disseminar malware. A Trustwave SpiderLabs identificou uma campanha que combina engenharia social e a exploração da vulnerabilidade CVE-2025-26633, também chamada de MSC EvilTwin. Os atacantes se passam por membros do departamento de TI e enviam solicitações pelo Microsoft Teams para estabelecer conexões remotas e implantar cargas maliciosas usando comandos PowerShell. Entre os arquivos utilizados, dois arquivos MSC com o mesmo nome são entregues, um benigno e outro malicioso, que ativa a vulnerabilidade. O arquivo malicioso se conecta a um servidor de comando e controle (C2) para receber e executar comandos, incluindo um stealer chamado Fickle Stealer. Além disso, os atacantes utilizam plataformas legítimas, como o Brave Support, para hospedar malware. A campanha destaca a importância de estratégias de defesa em camadas e treinamento de conscientização para usuários, dada a combinação de engenharia social e exploração técnica utilizada pelos hackers.

A equipe Lat61 de Inteligência de Ameaças da Point Wild identificou um clone malicioso do popular jogo Minecraft, chamado Eaglercraft 1.12 Offline, que contém um trojan de acesso remoto (RAT) conhecido como NjRat. Este malware permite que cibercriminosos roubem senhas, acessem webcams e microfones, e controlem máquinas infectadas sem o conhecimento do usuário. A popularidade de Minecraft, especialmente entre crianças e adolescentes, torna os jogadores alvos vulneráveis a esses ataques. O Eaglercraft é disfarçado como um launcher baseado em navegador e, ao ser executado, instala um backdoor chamado ‘WindowsServices.exe’, que se inicia automaticamente com o sistema operacional. O NjRat, que existe desde 2013, é um dos malwares mais persistentes, sendo frequentemente distribuído por e-mails de phishing e softwares piratas. A ameaça é agravada pela recente popularidade do jogo, impulsionada pelo lançamento de um filme live-action, aumentando a busca por conteúdos relacionados. A pesquisa destaca a necessidade de conscientização e precauções ao baixar jogos e aplicativos não oficiais.

Um novo golpe de phishing está sendo utilizado por cibercriminosos que se aproveitam da popularidade do Booking.com para enganar usuários. Os atacantes enviam e-mails para pessoas que possuem anúncios na plataforma, informando que houve uma reclamação sobre seu anúncio e que devem agir rapidamente para evitar a suspensão. O link contido no e-mail parece legítimo, mas, ao analisá-lo mais de perto, é possível notar que um caractere hiragana japonês foi utilizado no lugar da barra normal, o que é uma técnica conhecida como ’typosquatting’. Essa prática visa confundir as vítimas, levando-as a clicar em links maliciosos que instalam malware em seus dispositivos. O pesquisador de segurança que relatou o incidente, JAMESWT, observou que o site falso pode servir como um instalador de malware, como infostealers e trojans de acesso remoto (RAT). Para se proteger, os usuários são aconselhados a revisar cuidadosamente mensagens recebidas, especialmente aquelas não solicitadas, e a verificar links e anexos antes de clicar. O ataque destaca a importância de uma vigilância constante em relação a comunicações digitais.

Pesquisadores de cibersegurança alertam para a venda de contas de e-mail comprometidas do FBI e de outras agências governamentais dos EUA na dark web, com preços a partir de US$ 40. Essas contas são oferecidas em plataformas de mensagens criptografadas, como Telegram e Signal, e podem ser usadas para enviar solicitações de emergência fraudulentas a empresas de tecnologia. Os criminosos oferecem acesso completo às contas, permitindo o envio de mensagens, anexação de arquivos maliciosos e acesso a plataformas que exigem verificação governamental. A venda dessas credenciais representa um risco significativo, pois pode facilitar campanhas de malware em larga escala e a divulgação de dados sensíveis, como endereços IP e números de telefone. Os métodos utilizados para obter essas contas incluem o uso de malware, phishing e técnicas de engenharia social, que exploram vulnerabilidades humanas e técnicas. A crescente comercialização de contas de e-mail de instituições respeitáveis destaca a commoditização da confiança institucional, onde contas ativas e verificadas são reutilizadas para fraudes imediatas.

O Mount Rogers Community Services Board, localizado na Virgínia Ocidental, notificou 38.191 pessoas sobre um vazamento de dados ocorrido em abril de 2025, que comprometeu informações sensíveis de pacientes, incluindo números de Seguro Social, datas de nascimento, informações de seguros e dados médicos. Além disso, informações de funcionários e seus dependentes também foram expostas. O grupo de ransomware conhecido como Inc reivindicou a responsabilidade pelo ataque em junho de 2025, publicando amostras de documentos supostamente roubados. O Mount Rogers não confirmou se um resgate foi pago ou como a rede foi comprometida. O incidente foi descoberto entre 27 e 29 de abril de 2025, quando a organização percebeu problemas em seus sistemas. Para mitigar os danos, o Mount Rogers está oferecendo serviços gratuitos de monitoramento de crédito e identidade aos afetados. O grupo Inc, que surgiu em julho de 2023, já realizou 116 ataques confirmados, com um foco crescente em instituições de saúde, onde os ataques podem causar sérios riscos à privacidade e segurança dos pacientes. Em 2025, já foram registrados 53 ataques de ransomware em provedores de saúde nos EUA, comprometendo mais de 3,4 milhões de registros.

Um ator de ameaça persistente avançada (APT) de língua chinesa, identificado como UAT-7237, tem atacado entidades de infraestrutura web em Taiwan desde 2022, utilizando ferramentas de código aberto personalizadas para garantir acesso prolongado a ambientes de alto valor. A Cisco Talos atribui a atividade a este grupo, que é considerado um subgrupo de UAT-5918, conhecido por atacar infraestrutura crítica desde 2023. Os ataques se caracterizam pelo uso de um carregador de shellcode chamado SoundBill, que decodifica e lança cargas secundárias como o Cobalt Strike. Diferente de UAT-5918, que rapidamente implanta web shells, UAT-7237 utiliza o cliente VPN SoftEther para manter o acesso e posteriormente acessa os sistemas via RDP. Os atacantes exploram falhas de segurança conhecidas em servidores desatualizados, realizando reconhecimento inicial para determinar o valor do alvo. Além disso, ferramentas como JuicyPotato e Mimikatz são usadas para escalonamento de privilégios e extração de credenciais. A configuração do cliente VPN revela que os operadores são proficientes em chinês simplificado, indicando uma possível origem geográfica. Este cenário destaca a necessidade de vigilância constante e atualizações de segurança em sistemas expostos à internet.

Uma vulnerabilidade crítica no WinRAR, identificada como CVE-2025-8088, está sendo explorada por cibercriminosos para instalar malware em computadores sem o conhecimento dos usuários. A falha, com uma pontuação de 8.8 na escala CVSS, permite que arquivos maliciosos sejam extraídos para pastas do sistema operacional ao abrir arquivos aparentemente inofensivos. Descoberta pela ESET em julho de 2025, a vulnerabilidade afeta todas as versões do WinRAR até a 7.12 e foi corrigida na versão 7.13, lançada em 30 de julho. O ataque utiliza uma técnica chamada “path traversal” em combinação com “Alternate Data Streams” (ADS), permitindo que arquivos maliciosos sejam colocados em locais críticos do Windows, como a pasta de inicialização. A falta de um sistema de atualização automática no WinRAR torna milhões de usuários vulneráveis, especialmente ao abrir arquivos RAR suspeitos. O grupo de hackers RomCom, conhecido por suas operações sofisticadas, está por trás dessa exploração, utilizando malwares como SnipBot e RustyClaw para roubar dados e manter controle sobre os sistemas infectados. A atualização imediata do WinRAR é essencial para evitar compromissos de segurança.

Pesquisadores de segurança da Trend Micro descobriram uma nova ferramenta maliciosa, chamada RealBlindingEDR, que está sendo utilizada por um grupo de ransomware conhecido como Crypto24. Essa ferramenta é capaz de desativar a proteção de antivírus em dispositivos, permitindo que os hackers implantem malware adicional sem serem detectados. O RealBlindingEDR possui uma lista codificada de nomes de empresas de antivírus, como Trend Micro, Kaspersky e McAfee, e ao ser executado, busca esses nomes na metadata dos drivers para desativar os mecanismos de detecção. Além de desativar a proteção, a ferramenta pode desinstalar completamente os programas antivírus. Após conseguir acesso inicial, o grupo Crypto24 geralmente implanta um keylogger e um software de criptografia, exfiltrando dados roubados para o Google Drive. Embora a identidade do grupo ainda seja desconhecida, eles já atacaram várias organizações de grande porte em setores como finanças e tecnologia. Para mitigar esses riscos, especialistas recomendam uma estratégia de defesa em camadas, incluindo antivírus com proteção contra manipulação e ferramentas anti-malware adicionais.

A Palo Alto Networks revelou uma vulnerabilidade de severidade moderada em seu aplicativo de VPN GlobalProtect, que pode permitir que atacantes escalem privilégios e instalem software malicioso em endpoints alvo. A falha, identificada como CVE-2025-2183 e com uma pontuação CVSS de 4.5, afeta o processo de validação de certificados em aplicações GlobalProtect em sistemas Windows e Linux. A vulnerabilidade decorre de uma validação insuficiente de certificados, permitindo que atacantes se conectem a servidores arbitrários. Isso pode ser explorado por usuários não administrativos locais ou atacantes na mesma sub-rede, que podem instalar certificados raiz maliciosos e, em seguida, implantar software malicioso assinado por esses certificados fraudulentos. A Palo Alto Networks já lançou atualizações de segurança para corrigir a falha e recomenda que as organizações afetadas priorizem a atualização para as versões corrigidas e implementem mudanças de configuração adicionais para proteção total.

A HexStrike AI, plataforma líder em cibersegurança impulsionada por inteligência artificial, anunciou uma nova atualização que integra assistentes de IA como ChatGPT, Claude e Copilot com mais de 150 ferramentas de segurança, incluindo Burp Suite e Nmap. Essa atualização, parte da versão 6.0 da HexStrike AI, permite que desenvolvedores e pesquisadores de segurança realizem testes de penetração e avaliações de vulnerabilidades de forma autônoma e em uma escala sem precedentes. A arquitetura multi-agente da HexStrike AI conta com 12 agentes especializados que colaboram para executar fluxos de trabalho de segurança complexos. Através do protocolo “FastMCP”, os assistentes de IA podem invocar diretamente as ferramentas de segurança, automatizando tarefas como reconhecimento de rede e desenvolvimento de exploits. Profissionais de segurança agora podem, por exemplo, solicitar uma auditoria de segurança em um site e ver a execução automática de testes em segundos. A HexStrike AI v6.0 está disponível sob uma licença MIT de código aberto, permitindo que desenvolvedores integrem facilmente suas ferramentas de segurança com assistentes de IA.

A Oracle lançou oficialmente o VirtualBox 7.2.0 em 14 de agosto de 2025, trazendo suporte abrangente para máquinas virtuais Windows 11/Arm em sistemas com arquitetura Arm. Essa atualização é um marco importante na tecnologia de virtualização, permitindo que usuários executem VMs Windows 11/Arm nativamente em hardware baseado em Arm. O pacote de instalação unificado agora inclui capacidades de virtualização para Arm, facilitando a implementação. Além disso, a interface do usuário foi significativamente aprimorada, com ferramentas globais e de VM reorganizadas para melhorar o fluxo de trabalho. O desempenho também foi otimizado, com aceleração de decodificação de vídeo para hosts Linux e suporte experimental para aceleração 3D em hosts macOS Arm. O VirtualBox 7.2 também inclui melhorias técnicas, como emulação do controlador de armazenamento NVMe e correções críticas de bugs que afetam a clonagem de VMs e a corrupção de armazenamento. É importante ressaltar que os estados salvos de VMs Arm da versão 7.1 não são compatíveis com a nova versão, exigindo que os usuários realizem um desligamento adequado antes da atualização.

Uma pesquisa da Fortinet revelou que o Brasil acumulou 315 bilhões de tentativas de ciberataques no primeiro semestre de 2025, representando mais de 80% do total de ataques na América Latina. Durante o Fortinet Cybersecurity Summit 2025, o vice-presidente de engenharia da empresa, Alexandre Bonatti, destacou que a maioria dos ataques no Brasil é direcionada, visando alvos específicos e com o objetivo de monetização. Os criminosos agora tratam os ataques como uma estratégia de negócios, buscando maximizar lucros. O Brasil se torna um alvo atraente devido à combinação de grandes instituições e baixa maturidade em segurança cibernética, especialmente em um cenário de transformação digital. Bonatti também mencionou que setores que utilizam Internet das Coisas (IoT), como indústria e saúde, estão entre os mais vulneráveis, principalmente quando operam com dispositivos desprotegidos ou desatualizados. A pesquisa indica que a educação em cibersegurança no Brasil ainda é precária, o que facilita a exploração por criminosos. Com o aumento da lucratividade dos ataques, a situação exige atenção urgente das empresas e profissionais de segurança da informação.

O Brasil se destaca como o país mais atacado da América Latina em cibersegurança, com mais de 514 mil incidentes registrados no segundo semestre de 2024, representando mais da metade dos 1,06 milhões de ataques na região. O relatório da Netscout revela um aumento de quase 30% em relação ao semestre anterior. Os ataques mais comuns incluem negação de serviço distribuído (DDoS) e ransomware, frequentemente visando extorquir empresas por meio de resgates em criptomoedas. A crescente sofisticação dos ataques, impulsionada pelo uso de inteligência artificial, permite que criminosos automatizem campanhas e criem e-mails falsos convincentes. O Brasil não apenas é um alvo, mas também um vetor de ciberataques, com a fragilidade das redes corporativas sendo um fator crítico. Especialistas alertam que a segurança deve ir além do perímetro das redes, abrangendo dispositivos pessoais, devido a vulnerabilidades como a falha no protocolo de roaming SS7. Para mitigar esses riscos, a Netscout propõe uma plataforma que utiliza inteligência artificial para detectar anomalias e proteger as infraestruturas digitais. O cenário exige que as empresas invistam em prevenção e monitoramento contínuo para enfrentar a crescente ameaça cibernética.

Um levantamento realizado pela OLX revelou que o golpe do ‘falso pagamento’ foi o crime mais prevalente em 2024, representando 46% de todas as fraudes em compras online no Brasil. Este tipo de fraude resultou em um prejuízo estimado de R$ 1,61 bilhão para os consumidores. O golpe, também conhecido como ‘golpe da compra aprovada’, ocorre quando o criminoso se faz passar por um comprador e envia um comprovante de pagamento falso. A vítima, acreditando que o valor já foi creditado, envia o produto, mas acaba descobrindo que o dinheiro nunca foi depositado. Para evitar cair nessa armadilha, especialistas recomendam que os vendedores confirmem o recebimento do pagamento antes de entregar o item. Além disso, é importante estar atento a sinais de alerta, como pressa excessiva do comprador, pedidos de dados pessoais desnecessários e exigências de taxas extras. Caso identifique comportamentos suspeitos, a orientação é interromper a negociação e denunciar o perfil na plataforma. A OLX já implementa soluções que centralizam pagamentos e entregas, oferecendo maior segurança aos usuários.

Um novo ataque cibernético está explorando uma falha no sistema de convites do Discord, permitindo que hackers sequestram links de convites expirados para redirecionar usuários a servidores fraudulentos. Ao clicar em links antigos, as vítimas são levadas a um canal de verificação onde um bot as instrui a executar um comando PowerShell malicioso. Essa técnica, conhecida como ‘ClickFix’, engana os usuários a infectarem seus próprios sistemas com malwares como AsyncRAT e Skuld Stealer. A vulnerabilidade reside na forma como o Discord gerencia os links de convite, que, quando expirados, podem ser registrados por cibercriminosos. Pesquisadores identificaram mais de 1.300 downloads dos arquivos maliciosos, com vítimas em diversos países, incluindo Estados Unidos e Reino Unido. Para se proteger, é aconselhável desconfiar de links antigos e evitar executar comandos desconhecidos. Administradores de servidores devem priorizar o uso de links de convite permanentes, que são mais difíceis de serem sequestrados.

O Google implementou novas exigências regulatórias para desenvolvedores de aplicativos de criptomoeda que desejam distribuir suas aplicações na Google Play Store. Agora, é necessário que esses desenvolvedores obtenham licenciamento oficial do governo antes de publicar seus aplicativos em várias jurisdições ao redor do mundo. Essa atualização de política reflete a resposta da empresa ao panorama regulatório em rápida evolução em relação a ativos digitais e serviços financeiros.

Os requisitos de licenciamento variam significativamente entre regiões. Nos Estados Unidos, por exemplo, os desenvolvedores devem se registrar como Empresas de Serviços Monetários (MSBs) e obter licenças estaduais, enquanto na União Europeia, é necessário autorização como Prestadores de Serviços de Criptoativos (CASP) sob a regulamentação MiCA. O Japão e a Coreia do Sul têm suas próprias exigências específicas, como registro com a Agência de Serviços Financeiros e relatórios à Unidade de Inteligência Financeira, respectivamente.

A Cisco divulgou uma vulnerabilidade crítica em seu software Secure Firewall Management Center (FMC), que permite que atacantes remotos não autenticados executem comandos de shell arbitrários nos sistemas afetados. A falha, identificada como CVE-2025-20265, recebeu a pontuação máxima de 10.0 no Common Vulnerability Scoring System (CVSS), indicando sua gravidade e potencial de exploração. O problema reside na implementação do subsistema RADIUS do software, especificamente na forma como o sistema lida com a entrada do usuário durante a autenticação. Um atacante pode explorar essa vulnerabilidade enviando entradas maliciosas durante o login, permitindo a injeção de comandos que são executados com altos níveis de privilégio. A vulnerabilidade afeta as versões 7.0.7 e 7.7.0 do Cisco Secure FMC, mas apenas quando a autenticação RADIUS está habilitada. A Cisco recomenda que as organizações afetadas apliquem as atualizações de segurança disponíveis e considerem desabilitar temporariamente a autenticação RADIUS, utilizando métodos alternativos como contas de usuário locais ou autenticação LDAP externa. A empresa também confirmou que outros produtos de firewall não são afetados por essa falha.

Uma nova vulnerabilidade crítica no protocolo HTTP/2, chamada ‘MadeYouReset’ (CVE-2025-8671), foi divulgada em 13 de agosto de 2025, apresentando riscos significativos de negação de serviço para servidores web em todo o mundo. Essa falha permite que atacantes contornem as proteções existentes, tornando os servidores completamente indisponíveis para usuários legítimos. A vulnerabilidade é uma evolução do ataque ‘Rapid Reset’, que já havia causado grandes danos em 2023. O ‘MadeYouReset’ explora os mecanismos de concorrência do HTTP/2, permitindo que os atacantes criem um trabalho concorrente praticamente ilimitado nos servidores, sem a necessidade de recursos substanciais. Isso gera um desequilíbrio de custo que torna o ataque altamente eficaz. A pesquisa, conduzida por acadêmicos da Universidade de Tel Aviv e apoiada pela Imperva, identificou que a falha afeta várias implementações populares de servidores web, como Netty, Apache Tomcat e F5 BIG-IP. Organizações que utilizam servidores habilitados para HTTP/2 devem revisar os avisos dos fornecedores e aplicar patches imediatamente, pois a vulnerabilidade pode levar a quedas completas dos sistemas.

Pesquisadores de cibersegurança da Hunt.io descobriram e analisaram o código-fonte completo do ERMAC V3.0, um dos trojans bancários mais sofisticados para Android. O vazamento ocorreu em março de 2024, quando a equipe identificou um diretório exposto contendo o pacote completo do malware, incluindo seu backend em PHP e Laravel, frontend em React e servidor de exfiltração em Golang. O ERMAC V3.0 é capaz de atacar mais de 700 aplicativos de bancos, compras e criptomoedas globalmente, utilizando técnicas avançadas de injeção de formulários para roubar credenciais e dados financeiros. A análise revelou vulnerabilidades críticas, como segredos JWT hardcoded e credenciais padrão não alteradas, que podem ser exploradas por defensores. Além disso, o malware utiliza criptografia AES-CBC, mas com uma chave e nonce hardcoded, o que facilita sua detecção. A Hunt.io também conseguiu vincular o código vazado a operações ativas do ERMAC, destacando a necessidade urgente de medidas de segurança mais robustas contra esse tipo de ameaça.

A Cisco emitiu um alerta de segurança crítico sobre uma vulnerabilidade de alta severidade em seu software Secure Firewall Threat Defense (FTD), que pode permitir que atacantes realizem ataques de negação de serviço (DoS). A falha, identificada como CVE-2025-20217, afeta o componente Snort 3 Detection Engine e foi publicada em 14 de agosto de 2025. Com uma pontuação CVSS de 8.6, a vulnerabilidade resulta do processamento incorreto de tráfego de rede durante a inspeção de pacotes. Um atacante remoto não autenticado pode explorar essa falha enviando tráfego especialmente elaborado, fazendo com que o sistema entre em um loop infinito durante a inspeção, resultando em uma condição de DoS que pode interromper funções críticas de segurança da rede. A Cisco recomenda que as organizações verifiquem se o Snort 3 está ativo em suas instalações do FTD, pois apenas dispositivos com esse motor habilitado são suscetíveis. Não existem soluções alternativas, e a única forma de mitigar o problema é através da atualização do software, que já está disponível gratuitamente para clientes com contratos de serviço ativos. A empresa não encontrou evidências de exploração ativa da vulnerabilidade até o momento.

Em 2020, mais de 75% da população mundial se identificou com alguma religião, totalizando cerca de 6 bilhões de pessoas. Com o aumento do uso de aplicativos para acessar conteúdos religiosos, surge a preocupação sobre a segurança desses aplicativos. Uma análise de 158 apps populares da Google Play Store revelou que, em média, cada um solicita 21 permissões, sendo 3,7 classificadas como ‘perigosas’. Essas permissões incluem acesso a dados sensíveis como localização, câmera e armazenamento. A pesquisa destacou que 46% dos aplicativos podem violar as normas de privacidade do Google, com 20 deles não mencionando o acesso à câmera em suas políticas de privacidade. Além disso, 56 apps não informaram o período de retenção de dados, e 48 não explicaram como os usuários podem deletar suas informações. A falta de transparência pode colocar em risco a privacidade dos usuários, especialmente considerando que alguns aplicativos são voltados para crianças. A segurança dos dados pessoais deve ser uma prioridade, e os usuários precisam estar cientes das permissões que estão concedendo ao utilizar esses aplicativos.

A gangue de ransomware Interlock reivindicou a responsabilidade por um ataque cibernético ao governo local de Box Elder County, em Utah, ocorrido em 6 de agosto de 2025. O ataque resultou em interrupções em alguns serviços do condado, embora os processos eleitorais não tenham sido afetados. A Interlock afirma ter roubado 4,5 TB de dados, totalizando cerca de 2,1 milhões de arquivos, e publicou amostras desses documentos em seu site de vazamento. Até o momento, Box Elder County não confirmou a veracidade das alegações da gangue, e não se sabe se um resgate foi pago ou como os atacantes conseguiram invadir a rede do condado. A investigação sobre o incidente ainda está em andamento. A Interlock, que começou a operar em outubro de 2024, já reivindicou 25 ataques confirmados, afetando quase 2,6 milhões de registros. Os ataques de ransomware a entidades governamentais nos EUA têm aumentado, com 47 incidentes confirmados apenas neste ano. Esses ataques não apenas sequestram dados, mas também podem causar paralisações prolongadas e riscos de fraude para os cidadãos.

O Centro de Coordenação de Resposta a Incidentes de Segurança do Japão (JPCERT/CC) divulgou que entre setembro e dezembro de 2024, foram observados ataques utilizando um framework de comando e controle (C2) chamado CrossC2. Este framework expande a funcionalidade do Cobalt Strike para plataformas como Linux e macOS, permitindo controle cruzado de sistemas. Os atacantes usaram ferramentas como PsExec e Plink, além de um malware personalizado denominado ReadNimeLoader, que atua como carregador para o Cobalt Strike. O ReadNimeLoader, escrito na linguagem Nim, executa código diretamente na memória para evitar rastros no disco. Os ataques visaram servidores Linux, que frequentemente não possuem sistemas de detecção e resposta a ameaças (EDR), tornando-os alvos vulneráveis. A campanha de ataque também mostrou sobreposição com atividades de ransomware BlackSuit/Black Basta, indicando um cenário de ameaça crescente. JPCERT/CC enfatiza a necessidade de maior atenção a esses servidores, dada a falta de proteção adequada e o potencial de comprometimento adicional.

Pesquisadores identificaram uma nova técnica de ataque chamada MadeYouReset, que afeta várias implementações do protocolo HTTP/2, permitindo a realização de ataques de negação de serviço (DoS) em larga escala. Essa vulnerabilidade contorna o limite de 100 requisições HTTP/2 simultâneas por conexão TCP, que foi estabelecido para mitigar ataques DoS. Com o MadeYouReset, um atacante pode enviar milhares de requisições, causando a exaustão de recursos do servidor e, em alguns casos, levando a falhas de memória. A vulnerabilidade foi identificada com o CVE-2025-8671 e impacta produtos como Apache Tomcat, F5 BIG-IP e Netty. O ataque explora a forma como os servidores lidam com o quadro RST_STREAM, permitindo que um atacante induza o servidor a resetar streams válidos, sem precisar enviar um quadro RST_STREAM. Essa técnica representa uma evolução nas vulnerabilidades do HTTP/2, que já enfrentou outros ataques como Rapid Reset e CONTINUATION Flood. O CERT/CC alertou que a complexidade dos abusos de protocolos modernos torna a proteção contra ataques como o MadeYouReset mais crítica do que nunca.

A Cisco divulgou atualizações de segurança para corrigir uma falha de alta severidade no software Secure Firewall Management Center (FMC), identificada como CVE-2025-20265, com uma pontuação CVSS de 10.0. Essa vulnerabilidade afeta a implementação do subsistema RADIUS, permitindo que um atacante remoto e não autenticado injete comandos de shell arbitrários que podem ser executados pelo dispositivo. A falha ocorre devido à falta de tratamento adequado da entrada do usuário durante a fase de autenticação, possibilitando que um invasor envie dados maliciosos ao tentar autenticar-se no servidor RADIUS configurado. Para que a exploração seja bem-sucedida, o Cisco Secure FMC Software deve estar configurado para autenticação RADIUS na interface de gerenciamento baseada na web ou no SSH. As versões afetadas incluem 7.0.7 e 7.7.0, e não há alternativas além da aplicação dos patches fornecidos pela Cisco. Além dessa vulnerabilidade crítica, a Cisco também corrigiu várias outras falhas de alta severidade, todas exigindo atenção imediata dos usuários para evitar possíveis explorações. Embora nenhuma das falhas tenha sido explorada ativamente até o momento, é crucial que os usuários atualizem suas instâncias para as versões mais recentes.

O conceito de privacidade está evoluindo em um mundo onde a inteligência artificial (IA) agente se torna cada vez mais autônoma. Em vez de ser apenas uma questão de controle, a privacidade agora se baseia na confiança, especialmente quando essas IAs interagem com dados sensíveis e tomam decisões em nome dos usuários. A IA agente não apenas processa informações, mas também as interpreta, o que levanta preocupações sobre o que é inferido e compartilhado sem supervisão constante. Um exemplo prático é um assistente de saúde que, ao longo do tempo, pode começar a priorizar consultas e analisar o estado emocional do usuário, o que pode levar à perda de controle sobre a narrativa pessoal. Além disso, a privacidade não se resume mais ao triângulo clássico da CIA (Confidencialidade, Integridade e Disponibilidade), mas deve incluir autenticidade e veracidade. A falta de um conceito claro de privilégio entre IA e cliente pode resultar em consequências legais, onde informações pessoais podem ser acessadas por terceiros. Portanto, é essencial que as organizações desenvolvam sistemas de IA que respeitem a intenção por trás da privacidade e que sejam capazes de explicar suas ações. A necessidade de um novo contrato social que considere a agência da IA como uma categoria moral e legal é urgente, pois a privacidade se torna uma questão de reciprocidade e governança em um mundo onde humanos e máquinas interagem cada vez mais.

O Departamento do Tesouro dos EUA renovou sanções contra a plataforma de câmbio de criptomoedas russa Garantex, acusada de facilitar atividades de ransomware e outros crimes cibernéticos, processando mais de US$ 100 milhões em transações ilícitas desde 2019. As sanções também foram estendidas ao sucessor da Garantex, Grinex, e a três de seus executivos. O Tesouro destacou que o uso de ativos digitais para lavagem de dinheiro e ataques de ransomware representa uma ameaça à segurança nacional e prejudica a reputação de provedores legítimos de serviços de ativos virtuais. Garantex já havia sido sancionada em abril de 2022 por facilitar transações de mercados darknet. Após a apreensão do site da Garantex em março de 2025, a plataforma rebranded como Grinex, continuando a processar transações ilícitas. O Tesouro também anunciou recompensas por informações que levem à prisão de executivos da Garantex. Além disso, o Departamento de Justiça dos EUA revelou a apreensão de mais de US$ 2,8 milhões em criptomoedas relacionadas a atividades de ransomware, destacando a importância de ações coordenadas contra redes criminosas.

A crescente variedade de golpes online exige atenção redobrada dos internautas para proteger seus dados pessoais e financeiros. Entre os principais tipos de fraudes estão o falso suporte ao cliente, onde golpistas se passam por empresas conhecidas para obter informações sensíveis, e o malvertising, que utiliza anúncios infectados para instalar softwares maliciosos nos dispositivos dos usuários. Também são comuns os sites falsos de viagens que oferecem promoções inexistentes e mensagens enganosas sobre rastreamento de pacotes ou cobranças de pedágio, que geralmente solicitam cliques em links ou pagamentos para liberar entregas ou regularizar débitos. Para evitar prejuízos, adotar uma postura cética é fundamental. Desconfie de contatos inesperados por telefone, e-mail ou mensagens, e nunca clique em links duvidosos ou forneça dados pessoais sem antes confirmar a identidade do remetente através dos canais oficiais da empresa. Ao navegar na internet, é crucial verificar se o site é seguro, certificando-se de que o endereço comece com ‘https’. No caso de cobranças, como taxas de pedágio ou entrega, é recomendado entrar em contato com a empresa responsável por meio de canais oficiais para confirmar a veracidade da solicitação. Esteja sempre alerta e bem informado para se proteger das fraudes digitais em constante evolução.

Uma nova técnica de phishing está utilizando serviços de encapsulamento de links, como os da Proofpoint e Intermedia, para criar ataques mais eficazes direcionados a usuários do Microsoft 365. Entre junho e julho de 2025, a equipe de segurança de e-mail da Cloudflare descobriu uma campanha criminosa que mascara URLs maliciosas, levando as vítimas a páginas falsas com o intuito de roubar credenciais de acesso. Os cibercriminosos exploram a confiança que os usuários depositam em domínios reconhecidos, aumentando a probabilidade de cliques em links fraudulentos. A técnica envolve o uso de serviços de encurtamento de links, que são posteriormente encapsulados por sistemas de proteção, criando uma cadeia de redirecionamentos que oculta a verdadeira natureza do link. Isso torna os ataques mais convincentes e perigosos, levando a um aumento significativo das fraudes. O impacto é vasto, com riscos financeiros diretos e comprometimento de contas pessoais, potencializando o roubo de identidade. Em 2024, o e-mail foi responsável por 25% dos relatos de fraudes, com perdas financeiras significativas. As organizações enfrentam riscos elevados de violação de dados e sanções regulatórias, uma vez que o roubo de credenciais se tornou uma preocupação crescente. Para se proteger, é necessário implementar detecções baseadas em aprendizado de máquina e educar os usuários sobre como reconhecer sinais de ataques, já que técnicas tradicionais de filtragem estão se tornando ineficazes.

Uma nova plataforma de ransomware como serviço chamada Global Group está utilizando chatbots de inteligência artificial para automatizar as negociações de resgate com suas vítimas. Desde sua criação em junho de 2025, o grupo já comprometeu pelo menos 17 organizações em países como Estados Unidos, Reino Unido, Austrália e Brasil, exigindo pagamentos que podem chegar a US$ 1 milhão. Essa inovação permite que os cibercriminosos mantenham várias negociações simultaneamente, sem a necessidade de intervenção humana constante, aumentando a eficiência das operações de extorsão. O sistema de IA analisa arquivos criptografados para verificar compromissos e adapta o tom das mensagens de acordo com o perfil da vítima, intensificando a pressão psicológica. O Global Group tem como alvos preferenciais organizações de alto valor nos setores de saúde, automotivo e industrial, e seu painel de negociações na deep web permite que afiliados de diversas nacionalidades conduzam as negociações. Além disso, o modelo de negócio do grupo é agressivo, oferecendo 85% dos valores arrecadados com resgates para seus afiliados, atraindo operadores experientes. Apesar da sofisticação aparente, análises técnicas indicam que o Global Group é uma rebranding de grupos anteriores, mantendo vulnerabilidades conhecidas. Essa transformação no cibercrime representa um desafio significativo para profissionais de segurança digital, que agora enfrentam negociadores artificiais programados para maximizar a pressão e acelerar os pagamentos.

Apesar do avanço nas práticas de segurança em nuvem, muitas empresas ainda lutam contra o problema das permissões excessivas e acessos permanentes. O Relatório de Riscos de Segurança na Nuvem 2025 revela que 83% das organizações que utilizam a Amazon Web Services (AWS) já implementaram serviços de Provedores de Identidade (IdPs), um passo importante para centralizar o controle de acesso. Entretanto, a presença dos IdPs não garante segurança, pois permissões mal configuradas e acessos sem limites temporais ainda criam vulnerabilidades que podem ser exploradas por atacantes. A autenticação multifator (MFA), embora recomendada, frequentemente é vista como complexa pelos usuários, o que dificulta sua adoção. Além disso, permissões temporárias, que deveriam ser revogadas após o uso, muitas vezes permanecem ativas, aumentando a superfície de ataque desnecessariamente. Embora os principais provedores de nuvem ofereçam soluções robustas para gerenciamento de identidade e acesso, o verdadeiro desafio reside na cultura organizacional. É essencial promover uma mudança de mentalidade que implemente o princípio do menor privilégio, adote acessos just-in-time e realize auditorias regulares nas permissões. A segurança de identidade deve ser encarada como um processo contínuo, especialmente em um cenário onde os ataques se tornam cada vez mais sofisticados. Portanto, a gestão adequada da identidade não deve ser opcional, mas sim uma prioridade fundamental para as empresas.

A Dell emitiu um alerta sobre cinco vulnerabilidades de segurança classificadas como críticas, que afetam milhões de notebooks em mais de 100 modelos diferentes. As falhas estão relacionadas aos chips da série Broadcom BCM5820X, encontrados principalmente em PCs e notebooks empresariais da Dell, como as séries Latitude e Precision. As vulnerabilidades, identificadas como CVE-2025-24311, CVE-2025-25215, CVE-2025-24922, CVE-2025-25050 e CVE-2025-24919, comprometem a função ControlVault3, uma solução de segurança de hardware destinada ao armazenamento de dados sensíveis, como senhas e informações biométricas. De acordo com pesquisadores da Cisco Talos, um invasor com privilégios limitados poderia explorar essas falhas para roubar dados, executar códigos maliciosos remotamente e até implantar um backdoor no firmware do ControlVault, obtendo acesso à máquina afetada. A Dell afirmou que os problemas foram corrigidos em parceria com seu fornecedor de firmware e que um aviso de segurança foi publicado em 13 de junho. Até o momento, não há relatos de exploração ativa dessas vulnerabilidades. Para garantir a segurança, os usuários devem buscar as atualizações mais recentes no Dell Command Center ou acessar a página de suporte da Dell para obter mais informações sobre como proceder.

Um novo centro de dados proposto em Cheyenne, Wyoming, gerou preocupações significativas sobre o uso de energia e as demandas de infraestrutura. A instalação, uma parceria entre a empresa de energia Tallgrass e a desenvolvedora de centros de dados Crusoe, está prevista para iniciar com uma capacidade de 1,8 gigawatts, podendo escalar para impressionantes 10 gigawatts. Isso representa mais de cinco vezes a eletricidade consumida atualmente por todas as residências em Wyoming. Para suprir essa imensa demanda energética, os desenvolvedores planejam utilizar uma combinação de gás natural e fontes renováveis, construídas especificamente para atender ao centro. No entanto, permanece um mistério quem será o ocupante do centro de dados, com especulações focadas na OpenAI, que recentemente colaborou com a Crusoe em uma instalação no Texas, considerada a maior do mundo. Essa nova instalação no Texas consome cerca de um gigawatt de energia e faz parte da iniciativa ‘Stargate’ da OpenAI. Embora a presença da OpenAI em Wyoming não tenha sido confirmada, a demanda por hardware de alto desempenho em centros de dados voltados para IA é crescente. Especialistas da indústria esperam que a instalação abrigue processadores extremamente rápidos, projetados para aprendizado profundo e treinamento de modelos. A expectativa é que, mesmo com um modelo de energia autossuficiente, um centro de dados desse porte altere a dinâmica regional de energia, potencialmente elevando os custos de utilidades para os residentes locais e testando a identidade de Wyoming como um grande exportador de energia.

Levantamentos realizados por agências federais dos Estados Unidos resultaram no desmantelamento da operação de ransomware BlackSuit, que atacou mais de 450 organizações em todo o país. A ação, coordenada pela Investigação de Segurança Interna (HSI) em colaboração com parceiros internacionais, mirou o grupo sucessor do Royal ransomware, conhecido por suas táticas de dupla extorsão. Durante a operação, servidores, domínios e ativos digitais usados pelo grupo foram apreendidos, evidenciando uma cooperação internacional sem precedentes no combate a ameaças de ransomware. O BlackSuit utiliza métodos de dupla extorsão, criptografando sistemas críticos das vítimas e ameaçando divulgar dados roubados, o que aumenta significativamente a pressão sobre as organizações para o pagamento de resgates. Desde 2022, esses grupos comprometeram setores vitais, como saúde, educação e energia, causando perdas financeiras superiores a $370 milhões. A operação envolveu a colaboração de várias agências dos EUA e de países como Reino Unido, Alemanha e Canadá, demonstrando capacidades avançadas de aplicação da lei em operações cibernéticas. O caso está sendo processado pelo Escritório do Promotor dos EUA para o Distrito Oriental da Virgínia, com esforços contínuos para responsabilizar os envolvidos nas campanhas do Royal e BlackSuit, marcando um importante avanço na luta contra operações de ransomware que ameaçam a infraestrutura digital global.